TWI680379B

TWI680379B - 區塊鏈節點間通信方法和裝置

Info

Publication number: TWI680379B
Application number: TW107115709A
Authority: TW
Inventors: 邱鴻霖
Original assignee: 香港商阿里巴巴集團服務有限公司; Alibaba Group Services Limited
Priority date: 2017-07-26
Filing date: 2018-05-09
Publication date: 2019-12-21
Also published as: JP6705064B1; EP3602388A1; US10909269B2; KR20190099054A; CN107592292A; US20190036682A1; SG11201906836RA; CN107592292B; US20200136806A1; EP3602388B1; US11113421B2; TW201911099A; US20210110063A1; WO2019023475A1; US10956616B2; PH12019501743A1; JP2020519039A; KR102074116B1

Abstract

本說明書一個或多個實施例公開了一種區塊鏈節點通信方法及裝置，區塊鏈中的業務節點，儲存有CA發送的證書，並且預先配置有CA信任清單。當第一區塊鏈節點接收到第二區塊鏈節點發送的通信請求時，可先根據該通信請求中攜帶的第二區塊鏈節點的第二證書，確定第二證書對應的CA標識，之後根據預先配置的CA信任清單中的CA標識，判斷第二證書對應的CA標識是否可信，若是，則與第二區塊鏈節點建立通信，若否則不建立。

Description

區塊鏈節點間通信方法和裝置

本發明涉及資訊技術領域，尤其涉及一種區塊鏈節點間通信方法及裝置。

作為區塊鏈技術的分支，聯盟鏈技術的應用日漸廣泛。聯盟鏈網路中的區塊鏈節點包括業務節點和共識節點。業務節點參與業務，而共識節點負責接收業務節點發送的業務資料，進行共識驗證。　　上述的業務節點實際上是加入聯盟鏈網路的各機構的業務伺服器，伺服器上安裝有用於與該聯盟鏈網路中的其他節點進行通信的軟體(本文將該軟體稱為通信程式)。　　圖1是聯盟鏈網路的架構示意圖。如圖1所示，實心圓是共識節點，空心圓是業務節點。不同的業務節點為不同的應用程式(Application，APP)提供服務。業務節點將APP產生的業務資料發送給共識節點進行共識驗證。假設某業務節點是餐飲應用程式對應的伺服器，另一業務節點是支付應用程式對應的伺服器，用戶通過餐飲應用程式對應的APP點餐後可通過該支付應用程式付款，則這兩個業務節點就會參與同一個業務，可在聯盟鏈網路中註冊如圖1所示的業務關係。　　在聯盟鏈網路中，每個業務節點儲存有自身參與的業務的業務資料，業務資料中往往包括使用者的隱私資料。基於現有技術，需要一種更為安全的通信方法。

本說明書一個或多個實施例提供一種區塊鏈節點間通信方法，用於解決現有技術中，區塊鏈網路中的業務節點，在進行通信時可能導致的隱私資料洩露的問題。　　本說明書一個或多個實施例提供一種區塊鏈節點間通信裝置，用於解決現有技術中，區塊鏈網路中的業務節點，在進行通信時可能導致的隱私資料洩露的問題。　　本說明書實施例採用下述技術方案：　　一種區塊鏈節點通信方法，區塊鏈網路中的區塊鏈節點包括業務節點，其中，所述業務節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單，所述方法包括：　　第一區塊鏈節點接收第二區塊鏈節點發送的通信請求，其中，所述通信請求中攜帶有第二節點的第二證書；　　確定所述第二證書對應的CA標識；　　判斷確定出的所述第二證書對應的CA標識，是否存在於所述CA信任清單中；　　若是，則與所述第二區塊鏈節點建立通信連接；　　若否，則不與所述第二區塊鏈節點建立通信連接。　　一種區塊鏈節點通信裝置，所述裝置包括：　　接收模組，接收第二區塊鏈節點發送的通信請求，其中，所述通信請求中攜帶有第二區塊鏈節點的第二證書；　　確定模組，確定所述第二證書對應的CA標識；　　判斷執行模組，判斷確定出的所述第二證書對應的CA標識，是否存在於所述CA信任清單中，若是，則與所述第二區塊鏈節點建立通信連接，若否，則不與所述第二區塊鏈節點建立通信連接；　　其中，區塊鏈網路中的區塊鏈節點包括業務節點，所述業務節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單。　　一種區塊鏈節點的通信設備，所述通信設備包括一個或多個處理器及記憶體，所述記憶體儲存有程式，並且被配置成由所述一個或多個處理器執行以下步驟：　　第一區塊鏈節點接收第二區塊鏈節點發送的通信請求，其中，所述通信請求中攜帶有第二區塊鏈節點的第二證書；　　確定所述第二證書對應的CA標識；　　判斷確定出的所述第二證書對應的CA標識，是否存在於所述CA信任清單中；　　若是，則與所述第二區塊鏈節點建立通信連接；　　若否，則不與所述第二區塊鏈節點建立通信連接；　　其中，區塊鏈網路中的區塊鏈節點包括業務節點，所述業務節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單。　　本說明書一個或多個實施例採用的上述至少一個技術方案能夠達到以下有益效果：　　區塊鏈中的業務節點，儲存有CA發送的證書，並且預先配置有CA信任清單。當第一區塊鏈節點接收到第二區塊鏈節點發送的通信請求時，可先根據該通信請求中攜帶的第二區塊鏈節點的第二證書，確定第二證書對應的CA標識，之後判斷第二證書對應的CA標識是否存在於該CA信任清單中，若是，則與第二區塊鏈節點建立通信連接，若否則不建立。通過本說明書實施例提供的方法，區塊鏈的中業務節點在建立通信連接之前，可根據通信請求中攜帶的證書，以及預先配置的CA信任清單，確定是否建立通信連接，使得可通過限制業務節點可建立通信連的物件(如，其他業務節點)，減少業務節點洩露隱私資料的可能性，提高了區塊鏈中儲存的資料的安全性。

在聯盟鏈網路中，由於參與某個業務的業務節點產生的業務資料中包含使用者的隱私資料，因此為了防止使用者的隱私資料洩露給未參與該業務的業務節點，在聯盟鏈網路中，每個業務節點僅儲存其自身參與的業務的業務資料。　　但是，實際應用中，舉例來說，對於某個業務而言，未參與該業務的業務節點A可以通過通信程式與參與該業務的業務節點B建立通信連接，並採用技術手段(如資料庫破解)竊取業務節點B儲存的業務資料。也就是說，對於每個通過通信程式建立通信連接的業務節點來說，該業務節點都可以通過技術手段獲取與其建立通信連接的其他業務節點中儲存的業務資料。而在業務資料中便可包含使用者的隱私資料，於是本說明書提供一種更為安全的通信技術方案。　　為使本說明書各實施例的目的、技術方案和優點更加清楚，下面將結合本說明書一個或多個具體實施例及相應的圖式對本發明技術方案進行清楚、完整地描述。顯然，所描述的實施例僅是本發明一部分實施例，而不是全部的實施例。基於本說明書中一個或多個的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。以下結合圖式，詳細說明本說明書各實施例提供的技術方案。　　圖2為本說明書實施例提供一種區塊鏈節點通信過程，其中，區塊鏈網路中的區塊鏈節點包括業務節點，其中，業務節點儲存證書授權中心(Certificate Authority，CA)發送的證書，並預先配置有CA信任清單，則區塊鏈節點通信過程具體可包括以下步驟：　　S202：第一區塊鏈節點接收第二區塊鏈節點發送的通信請求。　　在本說明書一個或多個實施例中，在聯盟區塊鏈網路中的區塊鏈節點之間可進行通信。其中，業務節點間進行通信傳輸資料以執行業務，並將執行業務所產生的業務資料發送至共識節點進行共識校驗，以使得共識節點在校驗通過後，將該業務資料儲存在區塊鏈中。於是，在區塊鏈網路中任一一個區塊鏈節點，都有可能接收到其他區塊鏈節點發送的通信請求，為了方便說明，在本說明書各實施例中以接收到通信請求的區塊鏈節點為第一區塊鏈節點，發送通信請求的區塊鏈節點為第二區塊鏈節點進行後續說明。並且，通信請求可為第二區塊鏈節點發送的建立通信連接的請求，第一區塊鏈節點可根據後續步驟判斷是否回應該請求，並與第二區塊鏈節點建立通信連接。　　其中，該區塊鏈網路的結構可如圖1所示，區塊鏈節點可分為：業務節點以及共識節點。而無論對於共識節點還是業務節點來說，該區塊鏈節點中均可儲存有CA發送的證書，並且預先配置有CA信任清單。　　具體的，以業務節點為例，通過圖1所示的架構可見，在聯盟區塊鏈中可存在多個業務關係，而在每個業務關係中至少存在兩個業務節點。正如前述的，業務節點可以是加入聯盟鏈網路的不完全相同的機構的業務伺服器，同一業務關係中的各業務伺服器共同執行業務，並將業務資料發送至共識節點進行共識校驗(例如，支付業務可能涉及賣方銀行以及買方銀行，甚至中間交易平臺，則在支付業務中可能存在3個機構的業務伺服器在同一業務的不同流程中執行不完全相同的步驟，並最終產生待共識校驗的業務資料)。為了便於說明，後續出現的業務節點均可視為是機構的業務伺服器。　　另外，在本說明書一個或多個實施例中，每個業務關係對應一個CA，也可視為是存在業務關係的各業務節點對應同一個CA。而在業務關係中執行業務的各業務節點，在配置用於執行業務時，可先向該業務關係對應的CA發送身份審核請求，該身份請求中包含該業務節點所屬的機構。　　則CA可採用與現有技術相同的方法，對業務節點的身份進行審核，並在審核通過後，建立該業務節點的證書並返回該業務節點。　　於是，在本說明書一個或多個實施例中，每個業務節點中可儲存有證書，該證書為該業務節點對應的CA發送的。與現有技術相同，該證書中可包含該業務節點的標識，並且該證書中的公開金鑰中攜帶有頒發該證書的CA的簽名。而其他區塊鏈節點也可採用與現有技術相同的方法，通過該證書確定該業務節點的身份，以及確定頒發該業務節點的證書的CA的標識。　　進一步地，由於第二區塊鏈節點在向第一區塊鏈節點發送通信請求時，該通信請求中還可攜帶有第二區塊鏈儲存的第二證書。其中，第二證書為第二區塊鏈節點對應的CA頒發給第二區塊鏈節點的證書，則第一區塊鏈節點在接收到該通信請求後，可以根據該第二證書確定該第二節點的身份以及第二節點對應的CA。　　更進一步地，在本說明書一個或多個實施例中，該聯盟區塊鏈網路中的各區塊鏈節點可採用安全傳輸層協定(Transport Layer Security，TLS)建立通信連接，則根據TLS交握協定(TLS Handshake)，第二區塊鏈節點在向第一區塊鏈節點發送的通信請求中攜帶有第二區塊鏈節點的第二證書。　　需要說明的是，針對每個區塊鏈節點，該區塊鏈節點中還配置有CA信任清單，該CA信任清單可以由CA發送至該區塊鏈節點的，或者也可由該區塊鏈節點自行配置的，本說明書對此不做限定。其中，當該CA信任清單由該區塊鏈節點自行配置時，具體可由該區塊鏈節點對應的機構根據需要進行配置在該區塊鏈節點中。若該CA信任清單為CA配置的時，則該區塊鏈節點除了接收CA發送的證書以外，還可接收CA發送的CA信任清單並儲存。該CA信任清單中包含至少一個CA標識。　　在本說明書一個或多個實施例中，第一區塊鏈節點以及第二區塊鏈節點可以是該聯盟區塊鏈網路中的業務節點或者共識節點。當該區塊鏈節點為共識節點時，該共識節點可以是參與聯盟鏈的各機構提供的用於進行共識校驗的共識伺服器。也就是說，共識節點可視為不屬於任一機構，且不參與業務的伺服器。當然，針對每個伺服器(如，每個業務伺服器以及每個共識伺服器)，該伺服器既可以是單獨的一台設備，也可以是由多台設備組成的系統，本說明書對此不做限定。　　S204：確定所述第二證書對應的CA標識。　　在本說明書一個或多個實施例中，第一區塊鏈節點在接收到通信請求後，便可確定該通信請求中攜帶的該第二區塊鏈節點的第二證書，之後還可確定該第二證書對應的CA標識。　　具體的，由於證書中包含頒發該證書的CA的簽名，所以第一區塊鏈節點在確定該通信請求中攜帶的第二證書後，可以根據該第二證書中的簽名，確定為第二區塊鏈節點頒發證書的CA的CA標識。也就是說，業務節點在接收到通信請求後，可以確定該通信請求中攜帶的第二證書的CA標識。　　S206：判斷確定出的所述第二證書對應的CA標識，是否存在於所述CA信任清單中，若是，則執行步驟S208，若否則執行步驟S210。　　在本說明書一個或多個實施例中，由於在該聯盟鏈網路中的各區塊鏈節點中均配置有CA信任清單，並且該CA信任清單中至少包含一個CA標識，所以該第一區塊鏈節點可根據預先配置的CA信任清單中的CA標識，判斷該第二證書對應的CA標識是否存在于該第一區塊鏈節點中配置的CA信任清單中(如，與該CA信任清單中的任一一個CA標識一致)。即，判斷該第二證書對應的CA標識是否可信。　　若該第二證書對應的CA標識存在於預先配置的CA信任清單中，則第一區塊鏈節點可確定該CA標識可信，並執行步驟S208。而若該第二證書對應的CA標識不存在於預先配置的CA信任清單中，則第一區塊鏈節點可確定該CA標識不可信，並執行步驟S210。　　S208：與所述第二區塊鏈節點建立通信連接。　　在本說明書一個或多個實施例中，當第一區塊鏈確定該CA標識可信後，便可與第二區塊鏈節點建立通信連接。　　具體的，第一區塊鏈節點可以直接與該第二區塊鏈節點建立通信連接。其中，為了進一步保證通信安全，第一區塊鏈節點也可向第二區塊鏈節點發送第一區塊鏈節點的第一證書，並在與第二區塊鏈節點發送資料時，採用該第一證書中的私密金鑰進行加密。同理，第二區塊鏈節點也可在向第一區塊鏈節點發送資料時，採用第二證書中的私密金鑰進行加密。　　進一步地，由於在本說明書一個或多個實施例中，區塊鏈網路中的各區塊鏈節點之間可基於TSL的交握協定建立通信連接，所以第一區塊鏈節點在確定與第二區塊鏈節點建立通信連接之後，還可向第二區塊鏈節點返回驗證請求。　　具體的，該驗證請求中攜帶有第一區塊鏈節點的第一證書，則第二區塊鏈節點也可執行如步驟S202至步驟S206的步驟，確定第一證書對應的CA標識是否存在于該第二區塊鏈節點配置的CA信任清單中，若是，則與第一區塊鏈節點建立通信連接，若否，則不與第一區塊鏈節點建立通信連接。也就是說，第二區塊鏈節點也可對該第一區塊鏈節點的第一證書對應的CA是否可信進行驗證，若是，則建立通信，若否則不建立。　　其中，當建立通信時，第一區塊鏈節點與第二區塊鏈節點也可採用與現有技術中TLS交握過程類似的過程，確定本次通信使用的金鑰，並採用該金鑰對傳輸的資料進行加密。當然由於TLS交握過程已經是相當成熟的技術，所以本說明書對此不再贅述。　　S210：不與所述第二區塊鏈節點建立通信連接。　　在本說明書一個或多個實施例中，當第一區塊鏈節點確定該第二證書對應的CA標識不存在于該第一區塊鏈節點中配置的CA信任清單中時，可以確定不與該第二區塊鏈節點建立通信連接。並且，也可無需再向該第二區塊鏈節點發送驗證請求。　　通過如圖2所示的區塊鏈節點間通信方法，可見，區塊鏈中的業務節點，儲存有CA發送的證書，並且配置有CA發送的CA信任清單。並且，區塊鏈中的共識節點，也可儲存有CA發送的證書，並且配置有CA發送的CA信任清單。當區塊鏈網路中的第一區塊鏈節點接收到第二區塊鏈節點發送的通信請求時，可先根據該通信請求中攜帶的第二區塊鏈節點的第二證書，確定第二證書對應的CA標識，之後根據預先配置的CA信任清單中的CA標識，判斷第二證書對應的CA標識是否可信，若是，則與第二區塊鏈節點建立通信，若否則不建立。通過本說明書一個或多個實施例提供的方法，區塊鏈的中業務節點在建立通信連接之前，可根據通信請求中攜帶的證書，以及預先配置的CA信任清單，確定是否建立通信連接，使得可通過限制業務節點可建立通信連的物件(如，其他業務節點)，減少業務節點洩露隱私資料的可能性，提高了區塊鏈中儲存的資料的安全性。　　另外，圖2中所述的區塊鏈節點進行通信的方法，適用於業務節點以及共識節點，並且建立通信的過程中並無差異，只要根據節點中儲存的證書以及預先配置的CA信任清單，便可確定是否建立通信。即，第一區塊鏈節點既可以是業務節點，也可以是共識節點。同理，第二區塊鏈既可以是業務節點，也可以是共識節點。當然，由於通常共識節點僅用於接收業務節點發送的待共識的資料，所以第二區塊鏈節點通常為業務節點，本說明書各實施例對此並不做具體限定。　　進一步地，以圖1所示的區塊鏈網路為示意，當每個區塊鏈節點均對應一個CA時，並且具有業務關係的區塊鏈節點可對應同一個CA，則該聯盟鏈網路的架構可如圖3所示。其中，可見每個業務關係中存在一個CA(即，圖3中的虛線圓)，用於向在該關係中的各業務節點頒發證書。並且，共識節點中也可存在多個CA，並且向不同的共識節點頒發證書，則各業務節點可選擇不同的共識節點發送待共識的資料，並由擁有同一個CA頒發的證書的各共識節點對該資料進行共識驗證。需要說明的是，一個區塊鏈節點也可接收多個CA發送的證書，以及配置至少一個CA信任清單，在向其他區塊鏈節點發送通信請求時，可以選擇任一證書攜帶在通信請求中，本說明書對此不做限定。　　另外，在現有多組共識節點分別進行共識驗證的區塊鏈中，例如，基於Corda協定的區塊鏈。由於各共識節點中儲存的區塊鏈不完全相同，所以對於同一個待共識的業務資料進行共識校驗的結果可能不同，所以還存在區塊鏈中資料轉移(或者，在Corda協定中稱為公證人轉移)的方法，本說明書一個或多個實施例中也可採用相同的方法轉移不同共識節點中的資料，本說明書對此不再贅述。當然，在本說明書一個或多個實施例中也可僅存在一個CA為各共識節點頒發證書，本說明書對此不做限定。　　更進一步地，由於在現有技術中多個CA之間的相互信任需要根CA支援，所以為了使各區塊鏈節點中配置的CA信任清單，可以用於在TLS交握協定中用於判斷是否可建立通信連接，如圖4所示。圖4為本說明書實施例中CA關係示意圖，其中根CA可以是協力廠商CA，聯盟鏈CA可以是以協力廠商CA頒發的證書為基礎建立的，並由聯盟鏈CA向各區塊鏈節點的CA頒發證書(如，向第一CA、第二CA、第三CA等頒發證書)，最後由各區塊鏈節點的CA向各區塊鏈發送區塊鏈節點證書(如，第一CA頒發的區塊鏈節點證書1~n，第二CA頒發的區塊鏈節點證書m~p，其中，每個節點證書可發送給不完全相同的區塊鏈節點)。當然，對於基於證書的證書信任鏈，由於已經是較為成熟的技術，本說明書各實施例中對此不再過多贅述。　　需要說明的是，本說明書一個或多個實施例所提供方法的各步驟的執行主體均可以是同一設備，或者，該方法也由不同設備作為執行主體。比如，步驟S202和步驟S204的執行主體可以為設備1，步驟S206的執行主體可以為設備2；又比如，步驟S202的執行主體可以為設備1，步驟S204和步驟S206的執行主體可以為設備2；等等。上述對本說明書特定實施例進行了描述。其它實施例在所附申請專利範圍的範圍內。在一些情況下，在申請專利範圍記載的動作或步驟可以按照不同於實施例中的順序來執行並且仍然可以實現期望的結果。另外，在圖式中描繪的過程不一定要求示出的特定順序或者連續順序才能實現期望的結果。在某些實施方式中，多工處理和並行處理也是可以的或者可能是有利的。　　基於圖2所示的區塊鏈節點通信過程，本說明書實施例還提供一種區塊鏈節點通信裝置，如圖5所示。　　圖5為本說明書實施例提供的一種區塊鏈節點通信裝置的結構示意圖，其中，包括：　　接收模組302，接收第二區塊鏈節點發送的通信請求，其中，區塊鏈網路中的區塊鏈節點包括業務節點，所述業務節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單，所述裝置包括：　　確定模組304，確定所述第二證書對應的CA標識；　　判斷執行模組306，判斷確定出的所述第二證書對應的CA標識，是否存在於所述CA信任清單中，若是，則與所述第二區塊鏈節點建立通信連接，若否，則不與所述第二區塊鏈節點建立通信連接。　　所述區塊鏈節點還包括共識節點，其中，所述共識節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單。　　所述區塊鏈網路中的各區塊鏈節點對應不完全相同的CA。　　所述接收模組302，根據TLS交握協定接收第二區塊鏈節點發送的通信請求。　　所述判斷執行模組306，向所述第二區塊鏈節點返回驗證請求，所述驗證請求中攜帶有所述裝置的第一證書，以使所述第二區塊鏈節點根據所述第一證書以及所述第二區塊鏈節點中預先配置的CA信任清單，確定是否與所述裝置建立通信連接。　　具體的，所述區塊鏈節點通信裝置可位於區塊鏈節點。其中，該區塊鏈節點既可以是聯盟鏈網路中的業務節點，也可以是共識節點，本說明書對此不做限定。並且，由於在聯盟鏈中共識節點也可是聯盟中成員(即，各機構)提供的伺服器，所以該區塊鏈節點可以是共識伺服器。當然，當該區塊鏈節點為業務節點時，該業務節點也可以是機構的業務伺服器。　　另外，上述伺服器(如，業務伺服器、共識伺服器)可以是單獨的一台設備，也可以是多台設備組成的系統，如分散式伺服器。但無論該伺服器是一台還是多台設備，在該聯盟鏈網路中該伺服器可視為是一個區塊鏈節點。　　基於圖2所示的區塊鏈節點通信過程，本說明書實施例還提供一種區塊鏈節點通信設備，如圖6所示。　　圖6為本說明書實施例提供的一種區塊鏈節點通信設備的結構示意圖，所述通信設備包括一個或多個處理器及記憶體，所述記憶體儲存有程式，並且被配置成由所述一個或多個處理器執行以下步驟：　　第一區塊鏈節點接收第二區塊鏈節點發送的通信請求，其中，所述通信請求中攜帶有第二區塊鏈節點的第二證書；　　確定所述第二證書對應的CA標識；　　判斷確定出的所述第二證書對應的CA標識，是否存在於所述CA信任清單中；　　若是，則與所述第二區塊鏈節點建立通信連接；　　若否，則不與所述第二區塊鏈節點建立通信連接。　　其中，區塊鏈網路中的區塊鏈節點包括業務節點所述業務節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單。　　另外，該區塊鏈節點還可以是共識節點，並且通過該區塊鏈節點通信設備在與其他區塊鏈節點建立通信時，執行相同的步驟。　　在20世紀90年代，對於一個技術的改進可以很明顯地區分是硬體上的改進(例如，對二極體、電晶體、開關等電路結構的改進)還是軟體上的改進(對於方法流程的改進)。然而，隨著技術的發展，當今的很多方法流程的改進已經可以視為硬體電路結構的直接改進。設計人員幾乎都通過將改進的方法流程程式設計到硬體電路中來得到相應的硬體電路結構。因此，不能說一個方法流程的改進就不能用硬體實體模組來實現。例如，可程式化邏輯裝置(Programmable Logic Device, PLD)(例如場可程式化閘陣列(Field Programmable Gate Array，FPGA))就是這樣一種積體電路，其邏輯功能由使用者對器件程式設計來確定。由設計人員自行程式設計來把一個數位系統“集成”在一片PLD上，而不需要請晶片製造廠商來設計和製作專用的積體電路晶片。而且，如今，取代手工地製作積體電路晶片，這種程式設計也多半改用“邏輯編譯器(logic compiler)”軟體來實現，它與程式開發撰寫時所用的軟體編譯器相類似，而要編譯之前的原始代碼也得用特定的程式設計語言來撰寫，此稱之為硬體描述語言(Hardware Description Language，HDL)，而HDL也並非僅有一種，而是有許多種，如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware Description Language)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware Description Language)等，目前最普遍使用的是VHDL(Very-High-Speed Integrated Circuit Hardware Description Language)與Verilog。本領域技術人員也應該清楚，只需要將方法流程用上述幾種硬體描述語言稍作邏輯程式設計並程式設計到積體電路中，就可以很容易得到實現該邏輯方法流程的硬體電路。　　控制器可以按任何適當的方式實現，例如，控制器可以採取例如微處理器或處理器以及儲存可由該(微)處理器執行的電腦可讀程式碼(例如軟體或韌體)的電腦可讀介質、邏輯閘、開關、專用積體電路(Application Specific Integrated Circuit，ASIC)、可程式化邏輯控制器和嵌入微控制器的形式，控制器的例子包括但不限於以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及Silicone Labs C8051F320，記憶體控制器還可以被實現為記憶體的控制邏輯的一部分。本領域技術人員也知道，除了以純電腦可讀程式碼方式實現控制器以外，完全可以通過將方法步驟進行邏輯程式設計來使得控制器以邏輯閘、開關、專用積體電路、可程式化邏輯控制器和嵌入微控制器等的形式來實現相同功能。因此這種控制器可以被認為是一種硬體元件，而對其內包括的用於實現各種功能的裝置也可以視為硬體元件內的結構。或者甚至，可以將用於實現各種功能的裝置視為既可以是實現方法的軟體模組又可以是硬體元件內的結構。　　上述實施例闡明的系統、裝置、模組或單元，具體可以由電腦晶片或實體實現，或者由具有某種功能的產品來實現。一種典型的實現設備為電腦。具體的，電腦例如可以為個人電腦、筆記型電腦、蜂巢式電話、相機電話、智慧型電話、個人數位助理、媒體播放機、導航設備、電子郵件設備、遊戲控制台、平板電腦、可穿戴設備或者這些設備中的任何設備的組合。　　為了描述的方便，描述以上裝置時以功能分為各種單元分別描述。當然，在實施本發明時可以把各單元的功能在同一個或多個軟體和/或硬體中實現。　　本領域內的技術人員應明白，本發明的實施例可提供為方法、系統、或電腦程式產品。因此，本發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且，本發明可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存介質(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。　　本發明是參照根據本發明實施例的方法、設備(系統)、和電腦程式產品的流程圖和／或方塊圖來描述的。應理解可由電腦程式指令實現流程圖和／或方塊圖中的每一流程和／或方塊、以及流程圖和／或方塊圖中的流程和／或方塊的結合。可提供這些電腦程式指令到通用電腦、專用電腦、嵌入式處理機或其他可程式化資料處理設備的處理器以產生一個機器，使得通過電腦或其他可程式化資料處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和／或方塊圖一個方塊或多個方塊中指定的功能的裝置。　　這些電腦程式指令也可儲存在能引導電腦或其他可程式化資料處理設備以特定方式工作的電腦可讀記憶體中，使得儲存在該電腦可讀記憶體中的指令產生包括指令裝置的製造品，該指令裝置實現在流程圖一個流程或多個流程和／或方塊圖一個方塊或多個方塊中指定的功能。　　這些電腦程式指令也可裝載到電腦或其他可程式化資料處理設備上，使得在電腦或其他可程式化設備上執行一系列操作步驟以產生電腦實現的處理，從而在電腦或其他可程式化設備上執行的指令提供用於實現在流程圖一個流程或多個流程和／或方塊圖一個方塊或多個方塊中指定的功能的步驟。　　在一個典型的配置中，計算設備包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和記憶體。　　記憶體可能包括電腦可讀介質中的非永久性記憶體，隨機存取記憶體(RAM)和/或非揮發性記憶體等形式，如唯讀記憶體(ROM)或快閃記憶體(flash RAM)。記憶體是電腦可讀介質的示例。　　電腦可讀介質包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他資料。電腦的儲存介質的例子包括，但不限於相變記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電可擦除可程式化唯讀記憶體(EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶，磁帶磁磁片儲存或其他磁性存放裝置或任何其他非傳輸介質，可用於儲存可以被計算設備存取的資訊。按照本文中的界定，電腦可讀介質不包括暫存電腦可讀媒體(transitory media)，如調變的資料信號和載波。　　還需要說明的是，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，並不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。　　本領域技術人員應明白，本發明的實施例可提供為方法、系統或電腦程式產品。因此，本發明可採用完全硬體實施例、完全軟體實施例或結合軟體和硬體方面的實施例的形式。而且，本發明可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存介質(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。　　本發明可以在由電腦執行的電腦可執行指令的一般上下文中描述，例如程式模組。一般地，程式模組包括執行特定任務或實現特定抽象資料類型的常式、程式、物件、元件、資料結構等等。也可以在分散式運算環境中實踐本發明，在這些分散式運算環境中，由通過通信網路而被連接的遠端處理設備來執行任務。在分散式運算環境中，程式模組可以位於包括存放裝置在內的本地和遠端電腦儲存介質中。　　本說明書中的各個實施例均採用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對於系統實施例而言，由於其基本相似於方法實施例，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。　　以上所述僅為本發明的實施例而已，並不用於限制本發明。對於本領域技術人員來說，本發明可以有各種更改和變化。凡在本發明的精神和原理之內所作的任何修改、等同替換、改進等，均應包含在本發明的申請專利範圍之內。

S202-S210‧‧‧步驟

302‧‧‧接收模組

304‧‧‧確定模組

306‧‧‧判斷執行模組

此處所說明的圖式用來提供對本發明的進一步理解，構成本發明的一部分，本發明的示意性實施例及其說明用於解釋本發明，並不構成對本發明的不當限定。在圖式中：　　圖1為聯盟鏈網路架構示意圖；　　圖2為本說明書實施例提供一種區塊鏈節點通信過程；圖3為本說明書實施例提供一種聯盟鏈網路架構示意圖；　　圖4為本說明書實施例中CA關係示意圖；　　圖5為本說明書實施例提供的一種區塊鏈節點通信裝置的結構示意圖；　　圖6為本說明書實施例提供的一種區塊鏈節點通信設備的結構示意圖。

Claims

一種區塊鏈節點通信方法，區塊鏈網路中的區塊鏈節點包括業務節點，其中，該業務節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單，該方法包括：第一區塊鏈節點接收第二區塊鏈節點發送的通信請求，其中，該通信請求中攜帶有第二區塊鏈節點的第二證書；確定該第二證書對應的CA標識；判斷確定出的該第二證書對應的CA標識，是否存在於該CA信任清單中；若是，則與該第二區塊鏈節點建立通信連接；若否，則不與該第二區塊鏈節點建立通信連接。
如請求項1所述的方法，該區塊鏈節點還包括共識節點，其中，該共識節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單。
如請求項1或2所述的方法，該區塊鏈網路中的各區塊鏈節點對應不完全相同的CA。
如請求項1所述的方法，第一區塊鏈節點接收第二區塊鏈節點發送通信請求，具體包括：該第一區塊鏈節點根據安全傳輸層協定TLS的交握協定接收第二區塊鏈節點發送的通信請求。
如請求項1或2所述的方法，與該第二節點建立通信連接，具體包括：該第一區塊鏈節點向該第二區塊鏈節點返回驗證請求，該驗證請求中攜帶有該第一區塊鏈節點的第一證書，以使該第二區塊鏈節點根據該第一證書以及該第二區塊鏈節點中預先配置的CA信任清單，確定是否與該第一區塊鏈節點建立通信連接。
一種區塊鏈節點通信裝置，該裝置包括：接收模組，接收第二區塊鏈節點發送的通信請求，其中，該通信請求中攜帶有第二區塊鏈節點的第二證書；確定模組，確定該第二證書對應的CA標識；判斷執行模組，判斷確定出的該第二證書對應的CA標識，是否存在於該CA信任清單中，若是，則與該第二區塊鏈節點建立通信連接，若否，則不與該第二區塊鏈節點建立通信連接；其中，區塊鏈網路中的區塊鏈節點包括業務節點，該業務節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單。
如請求項6所述的裝置，該區塊鏈節點還包括共識節點，其中，該共識節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單。
如請求項6或7所述的裝置，該區塊鏈網路中的各區塊鏈節點對應不完全相同的CA。
如請求項6所述的裝置，該接收模組，根據安全傳輸層協定TLS的交握協定接收第二區塊鏈節點發送的通信請求。
如請求項6或7所述的裝置，該判斷執行模組，向該第二區塊鏈節點返回驗證請求，該驗證請求中攜帶有該裝置的第一證書，以使該第二區塊鏈節點根據該第一證書以及該第二區塊鏈節點中預先配置的CA信任清單，確定是否與該裝置建立通信連接。
一種區塊鏈節點的通信設備，該通信設備包括一個或多個處理器及記憶體，該記憶體儲存有程式，並且被配置成由該一個或多個處理器執行以下步驟：第一區塊鏈節點接收第二區塊鏈節點發送的通信請求，其中，該通信請求中攜帶有第二區塊鏈節點的第二證書；確定該第二證書對應的CA標識；判斷確定出的該第二證書對應的CA標識，是否存在於該CA信任清單中；若是，則與該第二區塊鏈節點建立通信連接；若否，則不與該第二區塊鏈節點建立通信連接；其中，區塊鏈網路中的區塊鏈節點包括業務節點，該業務節點儲存證書授權中心CA發送的證書，並預先配置有CA信任清單。